Der Missbrauch von Browsern, um Cryptowährungen zu erzeugen, ist ein scheinbar wachsender Trend. Zuletzt war es Angreifern gelungen, ein entsprechendes Programm auf 4275 Webseiten, darunter auch US-Regierungs-Webseiten, zu installieren. Auch sind es nicht nur Angreifer, die sich Zugriff auf eine Webseite verschafft habe, die solche Programme in Webseiten einbinden. Auch die Betreiber der Webseiten haben […]
IT-Sicherheit
IT-Sicherheit
What’s new in Microsoft Edge? Heute (und bereits seit einigen Tagen) eine kritische Zero-Day Lücke.
Die Forschungsgruppe von Google namens „Projekt-Zero“ hat eine kritische Zero-Day Sicherheitslücke im Microsoft Edge Browser entdeckt. Welche, auch nach einer 104-tägigen Karenzphase noch nicht mit einem Update versehen werden kann, da, so Microsoft (siehe den Kommentar 1), der Umfang der Lücke zu komplex sei, um diese in so kurzer Zeit zu beheben. Angesichts dieser Sicherheitslücke […]
Geschichte der Quellen
Wie wir im Artikel „Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?“ vom 18.12.2017 beschrieben haben, bietet die Seite keylength.com eine recht aktuelle Übersicht über Schlüssellängen. Ein etwas tieferer Blick in die Quellenangaben der Seite enthüllt zum einen das Kürzel „ECRYPT“ und zum anderen die Autoren Lenstra und Verheul. […]
Nach dem Firefox nun auch der Flash Player von Adobe – Kritische Zero Day Lücke
Jede Desktoplösung ist von dieser Schwachstelle betroffen, ein Update ist aber in Sicht: „Adobe will address this vulnerability in a release planned for the week of February 5.“ [1] Im Vergleich zur Firefox Lücke muss der Anwender hier selber „aktiv“ werden, damit er erfolgreich angegriffen werden kann. Dem Angriff geht eine Übertragung eines Office-Dokumentes voraus, […]
Sicherheitslücke bei Firefox bis Version 58.0.0
Wer den Firefox von Mozilla für Desktop-Computer nutzt, sollte dringend das außerplanmäßige Sicherheits-Update 58.0.1 installieren. Der Grund für die Veröffentlichung dieses Updates ist eine Sicherheitslücke, die entsprechend eingerichteten Webseiten erlaubt, beliebigen Code auf dem Anwendercomputer auszuführen. [1] Das Risiko dieser Schwachstelle ist als sehr hoch einzustufen. Die Auswirkung der Lücke besteht darin, dass ein Angreifer […]
Der IT-Sicherheitskatalog für Energieanlagen kommt … bald
Die Bundesnetzagentur hat die Konsultationsfassung für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz für Energieanlagen und Gasspeicher veröffentlicht Dieser Sicherheitskatalog muss gemäß der BSI-KRITIS-Verordnung für alle Energieanlagen mit einer installierten Netto-Nennleistung von 420 MW und für Gasspeicheranlagen mit 5190 GWh/Jahr umgesetzt werden. Wie bereits für die Energienetzbetreiber ist auch in diesem IT-Sicherheitskatalog die Einführung […]
Was ist Belastbarkeit im Sinne von Art. 32 DSGVO?
In Artikel 32 Abs 1 lit. b DSGVO wird das neue Schutzziel der „Belastbarkeit“ eingeführt. Allerdings wird nicht definiert, was damit gemeint ist. Schnell drängt sich der Gedanke auf, dass der Verordnungsgeber an dieser Stelle robuste Systeme fordert. Ein technisches System gilt dann als robust, wenn es die meisten erwartbaren Störereignisse bewältigt, ohne dass seine […]
Schwerwiegende Sicherheitslücke in Prozessoren
Aktuelle Prozessoren enthalten eine hardwarebasierte Sicherheitslücke, die nur durch Sicherheits-Updates des Betriebssystems behoben werden kann. Die Schwachstelle erlaubt das Auslesen von sensiblen Daten aus dem Arbeitsspeicher des Computers. Hintergrund Eine Grundlage der Sicherheit von Computersystemen und Software ist die Trennung von Speicherbereichen. Programm A darf nicht auf den Speicherbereich von Programm B zugreifen, Programme dürfen […]
Ausgewählte Talks vom #34C3:“Known Beacons Wi-Fi Automatic Association Attack“
Mobile Geräte wie Smartphones, Tablets oder Notebooks verbinden sich gewöhnlich automatisch mit bekannten WLAN-Hotspots oder Heimroutern. Eine Komfortfunktion, die auch ein Sicherheitsrisiko birgt. Vortäuschung bekannter WLANs Ein Mobilgerät, das aktiv nach bekannten Verbindungen sucht, sendet Anfragen (sog. „probe requests“), ob ein bekannter Hotspot in der Nähe ist. Antwortet dieser, kann eine Verbindung zustande kommen. Angreifer […]
AUDITOR – Entwicklung einer EU-weit anwendbaren Zertifizierung für Cloud-Dienste
Der Einsatz von Cloud-Diensten eröffnet neue Möglichkeiten der effizienten Ressourcennutzung. Insbesondere kleine und mittelständische Unternehmen profitieren von ausgelagerten IT-Strukturen. Kurz gesagt, der Cloud-Markt boomt. Die damit verbundenen Risiken, wie der mögliche Kontrollverlust, mangelnde Transparenz oder IT-Sicherheitsfragen, beschäftigen jedoch sowohl Anbieter als auch Nutzer von Cloud-Diensten. Die Anforderungen der Datenschutzgrundverordnung (DSGVO) und die implizierten Verpflichtungen für […]
beA geht offline ins neue Jahr
beA, das besondere elektronische Anwaltspostfach, sollte ab dem 1.1.2018 für Rechtsanwälte verpflichtend sein. Die hierzu erlassenen Regelungen finden sich in den §§ 19 ff der Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer (RAVPV), die ebenfalls ab dem 1.1.2018 gelten. Bisher war die Nutzung des beA freiwillig innerhalb der Testphase. Jetzt ist beA offline […]
Weihnachtshilfe für Admins
Wie heißt es doch so schön: „Und es begab sich zu der Zeit, dass alle Admins nach Hause zogen, um dort die IT-Probleme ihrer Familien zu lösen.“ Doch nun gibt es (Teil-)Hilfe. Für Einsteiger … Das Citizen Lab der University of Toronto hat die Webseite securityplanner.org gestartet. Auf dieser Webseite werden Tipps zur Absicherung der […]
Durchblick im Dschungel von Verschlüsselung und Schlüssellängen – was ist der Stand der Technik?
Unternehmen und datenverarbeitende Stellen müssen sich stets Gedanken machen, wie sie die drei Ziele der IT-Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) gewährleisten. Insbesondere zur Gewährleistung des Schutzziels der Vertraulichkeit kommt schnell das Thema Verschlüsselung ins Spiel. Doch Verschlüsselung ist nicht gleich Verschlüsselung und oftmals stellt sich die Frage: Welche Verschlüsselungsmethode entspricht eigentlich dem Stand der Technik? […]
Sicherer Windows 10-Betrieb: Sandkasten-Spielchen mit Microsoft
Kennen Sie das? Die Stirn wird in Falten gelegt, die Augenbrauen nähern sich einander an und die Unterlippe, die zuvor mit ihrer artverwandten oberen Hälfte noch dicht zusammengepresst war, schiebt sich ein leichtes Stück nach vorne. Eine solche Reaktion erntet man entweder unter kleinen Kindern, wenn z.B. im Sandkasten die entscheidende Schlacht um das jeweils […]
Cyber-Sicherheits-Umfrage
Sehr geehrte Leserinnen und Leser, heute möchten wir wieder unseren Blog dazu nutzen, unsere Leser dazu aufzufordern, an der jährlich stattfindenden anonymen Cyber-Sicherheits-Umfrage der Allianz für Cyber-Sicherheit teilzunehmen. Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. […]